权限审计概览

使用前必读

权限审计功能中，服务和操作的最近访问时间的数据来源于操作审计。在使用权限审计功能变更RAM身份的权限之前，请务必查看如下使用须知。

跟踪期

访问的跟踪期于2024-02-01开始，早于此时间的访问将不会被记录。最近访问时间的数据延迟不超过4小时。

尝试访问

最近访问包含对云服务API的所有访问请求，而不仅是访问成功的请求。它包含通过阿里云控制台、通过CLI、SDK或直接访问API的所有尝试。权限审计中出现非预期的访问并不意味着您的账号已被泄露，因为该访问请求有可能已被拒绝。对于请求的详细信息，请查看您的操作审计日志。

报告所有者

只有生成权限审计报告的实体才能查看报告中的权限访问记录详情。通过阿里云控制台查看权限访问记录时，您需要等待报告生成后，才能查看。通过API、SDK或CLI查看权限访问记录时，您的访问凭证必须与生成报告的所有者一致。如果您使用角色的临时凭证（STS Token）生成报告，则必须要用同一角色的STS Token查看权限访问记录详情。

支持的策略类型

权限审计仅分析基于身份的策略，即授予RAM用户、RAM用户组、RAM角色的权限策略。权限审计不会分析其他类型的权限策略，包括基于资源的策略（例如：OSS Bucket Policy）、资源目录的管控策略和会话策略。

支持的审计粒度

• 服务级别

  在云服务维度对RAM身份的权限和访问进行分析。您可以查看RAM身份被授予的云服务的权限，访问过的云服务及访问云服务的最后时间。以此用来撤销无需使用的系统策略，或者将管理员权限收敛成具体云服务的管理权限。

  支持服务级别审计的云服务，请参见支持权限审计的云服务。

• 操作级别

  在服务级别的基础上，进一步细化到具体的API操作（Action），在操作维度对RAM身份的权限和访问进行分析。您可以查看RAM身份被授予的具体API操作的权限，访问过的API操作及访问API操作的最后时间。以此用来对应用程序进行精细化权限管控，或者对高危权限进行收敛。

  支持操作级别审计的云服务，请参见支持权限审计的云服务审计粒度列标识为操作级别的云服务。

  重要

  • 权限审计仅支持云服务已接入操作审计管控平面的操作，不支持存储在云服务中的数据平面的操作（例如：OSS 的 GetObject）。

  • 对于ram:PassRole这种仅有权限，没有关联API的操作，权限审计不支持该操作。

查看RAM用户的权限访问记录

1. 使用RAM管理员登录RAM控制台。

2. 在左侧导航栏，选择身份管理 > 用户。

3. 在用户页面，单击目标RAM用户名称。

4. 在RAM用户详情页，单击权限访问 Beta页签。

   系统会开始生成RAM用户的权限审计报告，请您耐心等待一会，直到报告生成成功。

5. 查看权限访问记录。

   您可以查看RAM用户有权访问的云服务、被授予的权限策略、访问云服务的最后时间。

   对于支持操作级别审计的云服务，您可以单击操作列的查看鉴权操作，查看允许操作的API列表及访问该操作的最后时间。

   

查看RAM角色的权限访问记录

1. 使用RAM管理员登录RAM控制台。

2. 在左侧导航栏，选择身份管理 > 角色。

3. 在角色页面，单击目标RAM角色名称。

4. 在RAM角色详情页，单击权限访问 Beta页签。

   系统会开始生成RAM角色的权限审计报告，请您耐心等待一会，直到报告生成成功。

   说明

   服务关联角色不支持权限审计，不展示权限访问 Beta页签。

5. 查看权限访问记录。

   您可以查看RAM角色有权访问的云服务、被授予的权限策略、访问云服务的最后时间。

   对于支持操作级别审计的云服务，您可以单击操作列的查看鉴权操作，查看允许操作的API列表及访问该操作的最后时间。

   

权限审计常见问题